世界のプライバシー保護規制対応を支援するサイト

米国 コネチカット州で包括的プライバシー法成立 2023年7月1日施行


コネチカット州 米国で5番目の包括的プライバシー法(CTDPA)成立

コネチカット州において、2022年5月10日、知事の署名により、個人データのプライバシーとオンライン監視に関する法律(コネチカット州データプライバシー法【CTDPA】)が成立した。CTDPAは、カリフォルニア州、バージニア州、コロラド州、ユタ州に続く、米国で5番目の包括的プライバシー法であり、2023年7月1日施行予定である。

CTDPAの概要

適用範囲

コネチカット州で事業を行っている、又は、コネチカット州の消費者(※1)を対象とした製品若しくはサービスを提供している事業者が以下のいずれかの要件を満たす場合に、CTDPAが適用される。

■    前暦年において、100,000名以上の消費者の個人データ(支払取引を完了することのみを目的として管理又は処理される個人データを除く(※2))を管理又は処理
■    前暦年において、25,000名以上の消費者の個人データを管理又は処理し、年間収入の25%以上を個人データの売却により取得(※3)

【留意点】
(※1)「消費者」とは、コネチカット州の居住者のことをいうが、取引(BtoB)又は雇用に関連する個人(取引先の担当者、従業員等)は含まれない。なお、CCPAは取引・雇用関連個人データを2023年1月1日まで適用猶予としており、CTDPAと同様の運用となっている。2023年1月1日施行予定のCPRAにおいても、引き続き取引・雇用関連個人データを適用猶予とするか除外するか等につき、現在議会で審議されている。
(※2)CTDPAでは、支払取引完了のみを目的とする個人データ(クレジットカード情報等)は本要件(10万名以上の個人データ)のカウントから除かれているが、CCPA/CPRAではこのような適用除外は規定されていない。
(※3)CCPA/CPRAでは「年間収入の50%以上」とされていることに比して、CTDPAは「年間収入の25%以上」となっており、適用範囲が拡張されている。また、「売却」とは個人データと金銭その他の価値ある対価との交換をいうが、「売却」に含まれない行為は主に以下のとおりである。

  • 管理者に代わって個人データを処理する処理者への管理者による個人データの提供
  • 消費者が要求する製品又はサービスを提供する目的での第三者への個人データの提供
  • 管理者による管理者の関連会社への個人データの提供
  • 消費者が管理者に個人データの提供を指示する場合における個人データの提供
  • 消費者が意図的に一般公開した個人データ又は消費者が特定の対象者に限定しなかった個人データの提供
  • 合併、買収、又は破産の提案や実行による管理者から第三者への個人データの移転

事業者の義務

CTDPAは、個人データに関する消費者の権利(アクセス権、修正、削除権、データポータビリティ権、ターゲット広告・個人データの売却またはプロファイリングからのオプトアウト権等)を認め、事業者の義務として主に以下のものを規定している。

■    処理される個人データの種類、処理目的、消費者の権利行使方法等についてのプライバシーノーティスを消費者に提供
■    消費者の権利行使への対応
■    個人データを売却、またはターゲット広告目的で処理する場合、当該処理を消費者が拒否する方法を明確かつ目立つように提供
■    データ処理者との契約締結
■    同意を取得しない個人データの目的外利用の禁止
■    同意を取得しないセンシティブデータ(子供であることを知っている者から収集した個人データや正確な位置情報を含む)処理の禁止
■    16歳未満の子供の個人データについて、同意を取得しない売却・ターゲット広告目的利用の禁止
■    消費者が同意を撤回するための効果的な手段を提供(同意を与えることと同程度に容易であることが必要であり、かつ、同意の撤回から15日以内に個人データの処理を停止)
■    個人データの機密性・完全性・アクセス可能性を保護するための合理的なセキュリティ対策の実施
■    消費者に高いリスクが発生する個人データの処理(ターゲット広告やセンシティブデータ等処理)について、データ保護影響評価の実施

【留意点】
ここでいう「同意」とは、自由に与えられ、処理の目的等について情報提供を受けた上で与えられ、かつ、曖昧でない肯定的な意思表示をいう。CTDPAは、消費者の任意の意思決定・選択を妨害するような実質的な効果を有するユーザーインターフェース、すなわちダークパターンを利用して取得した同意は無効であると規定している。なお、CPRAにおいても同様の規定がある(CCPAでは規定なし)。

CTDPAの執行

CTDPAの執行は、コネチカット州司法長官が独占的に行う。もっとも、施行日である2023年7月1日から2024年12月31日までは、CTDPA違反事業者に対して違反通知を発行し、当該事業者が60日以内に違反を治癒しなかった場合に限り、司法長官による訴訟提起が可能である。なお、2025年1月1日以降は、司法長官の裁量により、違反の発見後、治癒期間を与えられることなく即時に訴訟提起される可能性がある。

【法律】
https://www.cga.ct.gov/2022/ACT/PA/PDF/2022PA-00015-R00SB-00006-PA.PDF

関連するブログ

関連記事